Il controllo degli accessi in base al ruolo può essere applicato in tre ambiti diversi in Azure.RBAC can be applied at three different scopes in Azure.Dal livello più alto al più basso, gli ambiti sono i seguenti:From the highest scope to the lowest one, they are as follows:

Essendo esterno all'organizzazione, il nuovo utente non dispone degli attributi esistenti nella directory "Default tenant Azure".Being external to the organization, the new user does not have any existing attributes in the "Default tenant Azure" directory.Questi verranno creati previo consenso dell'utente esterno alla registrazione nella directory associata alla sottoscrizione per cui gli è stato assegnato un ruolo.They will be created after the external user has given consent to be recorded in the directory that is associated with the subscription he has been assigned a role to.

Assicurarsi che, dopo avere immesso le credenziali nel portale, l'utente esterno selezioni la directory corretta a cui accedere.Make sure that after entering the credentials in the portal, the external user selects the correct directory to sign in to.Lo stesso utente può avere accesso a più directory e selezionarne una facendo clic sul nome utente nella parte superiore destra nel portale di Azure e quindi scegliere la directory appropriata nell'elenco a discesa.The same user can have access to multiple directories and can select either one of them by clicking the username in the top right-hand side in the Azure portal and then choose the appropriate directory from the dropdown list.

L'assegnazione di un ruolo di controllo degli accessi in base al ruolo nell'ambito del gruppo di risorse prevede un processo identico per l'assegnazione del ruolo a livello di sottoscrizione per entrambi i tipi di utenti: esterni o interni (appartenenti alla stessa directory).Assigning an RBAC role at a Resource Group scope has an identical process for assigning the role at the subscription level, for both types of users - either external or internal (part of the same directory).Gli utenti a cui viene assegnato il ruolo Controllo degli accessi in base al ruolo vedono nel proprio ambiente solo il gruppo di risorse per cui è stato loro assegnato l'accesso dall'icona Gruppi di risorse nel portale di Azure.The users that are assigned the RBAC role is to see in their environment only the resource group they have been assigned access from the Resource Groups icon in the Azure portal.

Il processo di assegnazione di un ruolo di controllo degli accessi in base al ruolo nell'ambito delle risorse in Azure è identico per l'assegnazione del ruolo a livello di sottoscrizione o di gruppo di risorse, seguendo lo stesso flusso di lavoro per entrambi gli scenari.Assigning an RBAC role at a resource scope in Azure has an identical process for assigning the role at the subscription level or at the resource group level, following the same workflow for both scenarios.Anche in questo caso, gli utenti assegnati al ruolo Controllo degli accessi in base al ruolo possono vedere solo gli elementi per cui è stato loro assegnato l'accesso nella scheda Tutte le risorse o direttamente nel dashboard.Again, the users that are assigned the RBAC role can see only the items that they have been assigned access to, either in the All Resources tab or directly in their dashboard.

Un aspetto importante per il controllo degli accessi in base al ruolo nell'ambito del gruppo di risorse o delle risorse è che gli utenti devono eseguire l'accesso alla directory corretta.An important aspect for RBAC both at resource group scope or resource scope is for the users to make sure to sign in to the correct directory.

Per poter visualizzare tutti i provider di risorse disponibili e registrati nella sottoscrizione, è possibile usare PowerShell.To be able to see all the resource providers available and registered in your subscription, you can use PowerShell.

Get-AzureRMResourceProvider

Inoltre è possibile cercare di tutti i cmdlet di PowerShell disponibili per gestire i provider di risorse.Additionally, you can check for the all the available PowerShell cmdlets to manage the resource providers.

In questo esempio il nome personalizzato per questo ruolo di controllo degli accessi in base al ruolo è "Reader support tickets access level" che consente all'utente di visualizzare tutti gli elementi nella sottoscrizione e di aprire le richieste di supporto.In this example, the custom name for this RBAC role is "Reader support tickets access level" allowing the user to view everything in the subscription and also to open support requests.

Note

Esistono solo due ruoli predefiniti di controllo degli accessi in base al ruolo che consentono di aprire richieste di supporto: Proprietario e Collaboratore.The only two built-in RBAC roles allowing the action of opening of support requests are Owner and Contributor.Per consentire a un utente di aprire richieste di supporto, è necessario che gli sia stato assegnato un ruolo di controllo degli accessi in base al ruolo solo nell'ambito della sottoscrizione perché tutte le richieste di supporto vengono create in base a una sottoscrizione di Azure.For a user to be able to open support requests, he must be assigned an RBAC role only at the subscription scope, because all support requests are created based on an Azure subscription.

Questo nuovo ruolo personalizzato è stato assegnato a un utente della stessa directory.This new custom role has been assigned to a user from the same directory.

Altri dettagli nell'esempio evidenziano i limiti di questo ruolo personalizzato, come indicato di seguito:The example has been further detailed to emphasize the limits of this custom RBAC role as follows:

Per l'esecuzione su un Mac e senza dover accedere a PowerShell, l'interfaccia della riga di comando di Azure è la soluzione adatta.Running on a Mac and without having access to PowerShell, Azure CLI is the way to go.

I passaggi per creare un ruolo personalizzato sono gli stessi, con l'unica eccezione che quando si usa l'interfaccia della riga di comando non è possibile scaricare il ruolo in un modello JSON, ma è possibile visualizzarlo nell'interfaccia della riga di comando.The steps to create a custom role are the same, with the sole exception that using CLI the role can't be downloaded in a JSON template, but it can be viewed in the CLI.

In questo esempio è stato scelto il ruolo predefinito Lettore di backup.For this example, I have chosen the built-in role of Backup Reader.

azure role show "backup reader" --json

Modificando il ruolo in Visual Studio dopo la copia delle proprietà in un modello JSON, il provider di risorse Microsoft.Support è stato aggiunto nelle sezioni Azioni in modo che questo utente possa aprire le richieste di supporto pur continuando a essere un lettore per gli insiemi di credenziali di backup.Editing the role in Visual Studio after copying the proprieties in a JSON template, the Microsoft.Support resource provider has been added in the Actions sections so that this user can open support requests while continuing to be a reader for the backup vaults.Anche in questo caso è necessario aggiungere l'ID sottoscrizione in cui verrà usato questo ruolo nella sezione AssignableScopes.Again it is necessary to add the subscription ID where this role will be used in the AssignableScopes section.

azure role create --inputfile <path>

Il nuovo ruolo è ora disponibile nel portale di Azure e il processo di assegnazione è lo stesso descritto negli esempi precedenti.The new role is now available in the Azure portal and the assignation process is the same as in the previous examples.